O DNS Armor, com tecnologia Infoblox, é um serviço totalmente gerido que oferece segurança na camada DNS para as suas cargas de trabalho. Google Cloud O respetivo detetor de ameaças avançado foi concebido para detetar atividade maliciosa no ponto mais inicial da cadeia de ataque, ou seja, a consulta DNS, sem adicionar complexidade operacional nem sobrecarga de desempenho.
Depois de detetar uma ameaça, pode obter informações acionáveis sobre ameaças de DNS através do Cloud Logging.
Como funciona o DNS Armor
Quando ativa um detetor de ameaças de DNS para um projeto, o DNS Armor envia de forma segura os seus registos de consultas de DNS associados à Internet para o motor de análise baseado em IA desenvolvido pelo nosso parceiro, a Infoblox. Google Cloud Este motor usa uma combinação de feeds de informações sobre ameaças e análise comportamental baseada em IA para identificar ameaças. Qualquer atividade maliciosa detetada gera um registo de ameaças do DNS Armor, que é enviado de volta para o seu projeto e escrito no Cloud Logging para que o possa ver e tomar medidas.
Com a deteção avançada de ameaças do DNS Armor, pode detetar ameaças, como as seguintes:
- Tunelização de DNS para exfiltração de dados: consultas de DNS estruturadas para transportar secretamente dados para fora da sua rede, ignorando frequentemente as firewalls tradicionais.
- Comando e controlo (C2) de software malicioso: comunicação DNS de uma carga de trabalho comprometida que está a tentar contactar o servidor de um atacante para receber instruções.
- Algoritmos de geração de domínios (DGA): consultas DNS a domínios gerados por máquinas com aspeto aleatório que o software malicioso cria para encontrar e estabelecer ligação aos respetivos servidores de comando e controlo.
- Fast Flux: consultas de DNS a domínios que alteram rapidamente os respetivos endereços IP associados, uma técnica usada para tornar a infraestrutura maliciosa mais difícil de rastrear e bloquear.
- DNS de dia zero: consultas de DNS a domínios recém-registados que os atacantes usam para atividades maliciosas antes de esses domínios desenvolverem uma reputação má conhecida.
- Distribuição de software malicioso: consultas DNS a domínios maliciosos e de alto risco, pertencentes a intervenientes responsáveis pela ameaça, que se sabe que alojam ou distribuem software malicioso, ou que podem alojar ou distribuir software malicioso no futuro.
- Domínios semelhantes: consultas DNS a domínios já conhecidos por serem maliciosos que têm erros ortográficos intencionais ou estão formatados para parecerem marcas legítimas e fidedignas.
- Kits de exploração: consultas DNS a Websites que tentam explorar automaticamente vulnerabilidades em cargas de trabalho na nuvem para instalar software malicioso.
- Ameaças persistentes avançadas (APT): consultas DNS a domínios associados a campanhas de ataque direcionadas e de longo prazo, frequentemente realizadas por grupos sofisticados para espionagem ou roubo de dados.
O detetor de ameaças avançado é um serviço configurado globalmente disponível ao nível do projeto, mas funciona de forma independente em cada região. Pode ser ativada para todas as redes VPC num projeto com a capacidade de excluir redes específicas.
Para suportar os requisitos de residência de dados, a análise dos seus registos de DNS para deteção de ameaças ocorre na mesma Google Cloud região a partir da qual a consulta foi originada.
Desempenho e escala
O DNS Armor processa um pico de 50 000 registos de consultas por segundo por cliente por Google Cloud região.
Impacto na faturação
Para mais informações sobre como o DNS Armor pode afetar a sua faturação, consulte os preços do Cloud DNS.
O DNS Armor também afeta a sua fatura do Cloud Logging, uma vez que as conclusões de ameaças são escritas na conta do Cloud Logging do seu projeto. Para mais informações, consulte os preços do Google Cloud Observability: Cloud Logging.